2022年区块链安全生态大盘点-ODAILY_UST:BCHAIN

2022年对于区块链行业来说必然是一个巨大的分水岭。这一年,既有以太坊2.0合并,以太坊主网从工作量证明转换到权益证明减少了99.95%能源消耗这样令人激动人心的瞬间;也有顶级交易所FTX因挪用用户资产遭遇用户挤兑而轰然崩塌,进而引发各大交易所纷纷出具资产证明这样让人瞠目结舌的黑天鹅时刻;更有RoninNetwork因私钥泄漏导致被盗6.24亿美元刷新区块链黑客攻击损失之最的等事件发生。

本文梳理了2022全年区块链安全态势并聚焦2022年度发生过的重大安全事件,以及2022年发生的行业大事件,并从安全角度对这些事件进行盘点,并给出安全建议。

2022安全态势

安全事件总览

安全事件占比分布

安全走势

十大顶级安全事件

Top1:RoninNetwork

Top2:BNBChain

Top3:Wormhole

Top4:NomadBridge

Top5:BeanstalkFarms

Top6:Wintermute

Top7:MangoMarkets

Top8:HarmonyBridge

Top9:FeiProtocol

Top10:QubitFinance

行业大事件

LUNA崩盘

以太坊合并

Solana大规模钱包被盗

FTX暴雷

安全解决方案

合约检测能力

钓鱼网址检测

态势感知系统

安全总结

2022安全态势

安全事件总览

根据OKLink安全事件库不完全统计,截止发文前,共收录区块链生态相关安全事件681起,较2021年332起安全事件相比增加了105%,总损失约33.3亿美元,与2021年98亿美元损失相比下降约66%。

安全事件占比分布

将2022年全年记录的681次安全事件,按照DeFi攻击,RugPull和社媒攻击及其他进行分类汇总,可以看到DeFi攻击占比24%,RugPull占比32%,社媒攻击及其他占比44%。

对2022年发生的163起DeFi安全事件攻击类型具体原因进行详细分类,可以发现占比最多的是业务逻辑问题和价格攻击,分别以21%和20%占据前两位。另外,私钥签名相关攻击、重入攻击和跨链桥相关攻击发生次数排名也比较靠前。

安全走势

从月度安全事件数量分布来看,2022年的安全走势从1月到9月不断提升,从9月到12月慢慢放缓,其中8、9、10三个月安全事件数量最多,均达到上百起。从细分DeFi领域安全事件角度看,以10月份的27件为最多。

从月度损失金额分布来看,1季度和4季度损失最多,其中3月份的7.1亿美元损失以及10月份的6.1亿美元损失排在前两位,原因也是这两个月都发生了重大的跨链桥攻击事件。3月份的Ronin跨链桥事件损失6.2亿美元,10月份的BNBChain事件损失5.7亿美元。

十大顶级安全事件

对2022年度安全事件造成的资产损失进行对比,盘点今年的损失之最。

Top1:RoninNetwork

安全问题:私钥泄露

损失金额:6.24亿美元

2022年3月29日,以玩赚模式家喻户晓的链游AxieInfinity母公司SkyMavis开发的以太坊侧链Ronin遭到黑客攻击,损失约6.16亿美元,超去年8月DeFi协议PolyNetwork案件被黑的6.11亿美元,成为DeFi历史上最大盗窃案。

Ronin是GameFi项目AxieInfinity做的游戏以太坊侧链,Axie玩家需要将ETH、USDC等跨链到Ronin侧链上玩Axie游戏。而Ronin采用的是简易的资产跨链模式,用户在以太坊上向Ronin跨链合约转账资产,Ronin控制的私钥钱包会在Ronin链上给用户铸造ETH或USDC。

欧易OKX:将在24小时内对冷热钱包进行资产配置再平衡:4月23日消息,欧易 OKX 发布公告称,根据常规维护,将在接下来的 24 小时内对冷热钱包进行资产配置再平衡,预计会有大额转账。用户资金安全,存取款不受影响。[2023/4/23 14:21:53]

据欧科云链链上卫士分析,此次攻击者是通过Ronin的RPC节点找到后门,设法控制了SkyMavis的四个Ronin验证节点和一个由AxieDAO运行的第三方节点,从而实现资产盗窃。攻击者从侧链Ronin盗取资产后,将资产跨链转移到以太坊地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96。

OKLink安全团队观点:此次Ronin事件成为DeFi历史上最大的盗窃案,不仅敲响了Defi链上资产安全的警钟,也让更多人对链上资产的安全性持怀疑态度。所以保障链上安全是一切链上应用/产物发展的前提,这不仅是“链上卫士”诞生的初衷,亦是业内专业人士共同努力的目标。

OKLink安全团队建议:作为中心化的跨链桥,尤其是私钥不离线时,一定要注意签名服务器的安全性,多签服务之间应该物理隔离,独立对签名内容进行验证,而不应出现多把私钥放在同一台服务器上的情况,最后项目方应该实时监控资金异常情况,在发生被盗之后6天才由用户报告了异常,属实不应该。

黑客地址:

https://www.oklink.com/en/eth/address/0x098b716b8aaf21512996dc57eb0615e2383e2f96

相关链接:

https://www.oklink.com/academy/zh/hot-ronin-bridge-hack-event

Top2:BNBChain

安全问题:底层库漏洞

损失金额:5.66亿美元

2022年10月7日,OKLink安全团队检测到BNBChain跨链桥BSCTokenHub遭遇攻击,黑客利用跨链桥漏洞分两次共获取200万枚BNB,价值约5.66亿美元。

BSCTokenHub是BNB信标链和BNB链之间的跨链桥。BNB链使用预编译合约0x65验证BNB信标链提交的IAVL的Proof,但BNB链对提交的Proof边界情况处理不足,它仅考虑了Proof只有一个Leaf的场景,对多个Leaves的处理逻辑不够严谨。IAVL的Proof校验过程中,Hash计算存在漏洞,导致黑客可以在Proof添加数据,但计算Hash时并没有用到添加的数据。在len(pin.Left)不为0的分支中,计算Hash并没有使用pin.Right数据。黑客利用该处漏洞构造数据,添加proof.LeftPath.Right数据,但是该数据并不参与Hash计算。从而绕过BNBChain上的校验,在BNB链造成了BNB增发。攻击者将其中90万枚BNB在借贷协议Venus进行抵押,借出稳定币并转入其它链。攻击发生后,BNBChain紧急暂停,Tether等机构也进行了资金冻结,最终事件造成的损失金额约为1亿美元。

OKLink安全团队观点:跨链桥领域安全问题频发,一方面跨链桥技术复杂,另一方面跨链桥涉及资产量大,是黑客极度青睐的一个领域。除请专业审计机构对代码安全进行把关外,建设广大的开发者社区,让更多开发者对代码进行对接测试也很重要。

OKLink安全团队建议:攻击发生后不到24小时,BNBChain链暂停,冻结相关地址,对链节点进行升级,尽量减少黑客攻击造成的损失。由此可见,对协议健康运行的有效监测,以及发生异常情况后的应急处理机制,对不可避免的安全攻击也是一种有效的补救手段。

第一次攻击交易哈希:

https://www.oklink.com/zh-cn/bsc/tx/0xebf83628ba893d35b496121fb8201666b8e09f3cbadf0e269162baa72efe3b8b

相关链接:

https://www.oklink.com/academy/zh/bnbchain-hacked

https://www.oklink.com/academy/zh/bnbchain-hacked-analysis

Top3:Wormhole

安全问题:使用过时接口

损失金额:3.2亿美元

2022年2月2日,OKLink安全团队检测到Wormhole协议遭受攻击,造成超3.2亿美元的损失。

Wormhole是Solana、Ethereum、Avalanche等主流公链之间流行的跨链加密桥,由部署在各个公链上的智能合约相互工作,而此次漏洞就出在Wormhole部署在Solana上的智能合约中。在智能合约的正常使用中,所有Token的铸造都是通过调用complete_wrapped函数进行,其中参数transfer_message决定铸造哪个Token以及铸造多少。参数transfer_message由post_vaa函数对theguardians签名的信息进行检查后提供,但post_vaa函数并没有直接检查签名信息的有效性仅检查了verify_signatures函数提供的SignatureSet,而verify_signatures函数也没有直接检查签名信息的有效性,而是通过Secp256k1程序进行检查,再将theguardians签名的信息打包到SignatureSet中。所以实际上对theguardians签名信息进行检查的是Secp256k1程序。在Solana上`solana_program::sysvar::instructions`mod必须与Instructionssysvar一起使用,这是Solana上的一种预编译。然而,Wormhole使用的solana_program版本并没有solana_program::sysvar::instructionsmod与Instructionssysvar的对应验证。攻击者正是通过伪造Instructionssysvar来绕过Secp256k1程序检查,达到攻击目的。

欧易OKEx DeFi播报:DeFi总市值624.00亿美元,欧易OKEx平台BADGER领涨:据欧易OKEx统计,DeFi项目当前总市值为624.00亿美元,总锁仓量为741.40亿美元;

行情方面,今日DeFi代币普涨;欧易OKEx平台DeFi币种涨幅最高前三位分别是BADGER、FLM、TRB;

截至17:30,OKEx平台热门DeFi币种如下:[2021/6/3 23:08:51]

另外,Wormhole官方Github有一份关于load_instruction_at_checked替换load_instruction_at的commit于1月13日提交并于2月2日确认,这其实就是在添加确认正在执行的程序是系统程序的检查。而在Wormhole团队重新部署新程序之前,就发生了此次攻击。因此攻击者可能一直在关注Wormhole项目的主要更新。

OKLink安全团队观点:Wormhole团队其实有发现此次安全问题,但轻视了其危害性;同时缺乏安全意思,将未更新到实际项目中的修复方案提前暴露。

OKLink安全团队建议:项目方应当具备良好的风险评级策略,及时做到安全修复;同时加强信息安全意识,防止重要信息泄漏。

攻击铸币交易:

https://www.oklink.com/zh-cn/sol/tx/2zCz2GgSoSS68eNJENWrYB48dMM1zmH8SZkgYneVDv2G4gRsVfwu5rNXtK5BKFxn7fSqX9BvrBc1rdPAeBEcD6Es

伪造Instructionssysvar地址:

https://www.oklink.com/zh-cn/sol/account/2tHS1cXX2h1KBEaadprqELJ6sV9wLoaSdX68FqsrrZRd

Top4:NomadBridge

安全问题:配置错误

损失金额:1.9亿美元

2022年8月1日,OKLink安全团队检测到NomadBridge项目遭受攻击,造成超1.9亿美元的损失。

Nomad是一个跨链桥项目,用于在Ethereum、Avalanche、Evmos、MilkomedaC1和Moonbeam之间交换代币。此次攻击能发生的直接原因是NomadBridge团队在对Replica合约进行初始化时配置错误,将confirmAt赋值为1,使得storage变量messages中未初始化的键值对都能够成功通过检测。简单来讲就是在项目方操作失误后找到任意一个在NomadBridge项目上发生过的有效交易,替换掉交易中的地址,然后重新广播它,你就真的能获得该笔交易涉及的转移代币。

由于操作难度的低门槛性,此次攻击由单纯的黑客攻击变成了"全民抢劫",涉及对象包括白帽黑客、普通用户甚至其他项目的黑客等。

OKLink安全团队观点:Nomad项目方作为项目的直接控制人,有必要在对项目进行任意变动前仔细检查考虑变动会带来的后果,避免此类低级错误的发生。

OKLink安全团队建议:任何涉及资产的项目都应当有紧急措施,避免在攻击发生后,无法对剩余资产进行有效控制造成更大的损失。

错误配置hash:

https://www.oklink.com/zh-cn/eth/tx/0x53fd92771d2084a9bf39a6477015ef53b7f116c79d98a21be723d06d79024cad

第一次攻击hash:

https://www.oklink.com/zh-cn/eth/tx/0xb1fe26cc8892f58eb468f5208baaf38bac422b5752cca0b9c8a871855d63ae28

相关链接:

https://www.oklink.com/academy/zh/hot-190m-dollars-stolen-from-cross-chain-bridge-again-in-depth-analysis-of-oklink-audit

Top5:BeanstalkFarms

安全问题:治理攻击

损失金额:1.81亿美元

4月17日,算法稳定币项目BeanstalkFarms遭黑客攻击,损失了大约1.82亿美元的加密货币,攻击者从中获利近8000万美元,包括24830ETH和3600万BEAN。攻击者在主要攻击交易前一天,将73ETH兑换为BEAN并存储Beanstalk合约获取提案权,并调用提案方法创建以恶意提案合约地址为参数的提案。攻击者在发动攻击时,首先通过闪电贷获得大量资金:350,000,000枚DAI,500,000,000枚USDC,150,000,000枚USDT,32,100,950枚BEAN和11,643,065枚LUSD,并最终兑换为BEAN3CRV-f和BEANLUSD-f用来对提案进行投票,导致提案通过,从而Beanstalk:BeanstalkProtocol合约向攻击合约转入了大量Token代币。

OKLink安全团队观点:在治理合约中emergencyCommit函数,允许提案发起时间超过24小时并且投票数占比超过2/3的提案在投票期结束前直接执行,导致攻击者能够使用闪电贷强制执行恶意提案,转移协议内资产。

欧易OKEx将于17:00开放VELO/USDT市场交易:欧易OKEx官方发布公告称,计划上线Velo (VELO) 。具体时间如下:1. 3月8日15:00开通VELO充值;2. 3月8日17:00开放VELO/USDT的市场交易; 3. 3月9日18:00开通VELO提现。[2021/3/8 18:25:11]

OKLink安全团队建议:建议对链上治理相关重要功能,提案发布,提案执行都添加时间锁,如出现恶意提案也可以进行缓冲;避免使用账户的当前资金余额来统计投票数量,避免重复投票以及通过闪电贷借款投票。

攻击者地址:

https://www.oklink.com/en/eth/address/0x1c5dcdd006ea78a7e4783f9e6021c32935a10fb4

Top6:Wintermute

安全问题:私钥泄露

损失金额:1.6亿美元

9月20日,Wintermute项目方的钱包地址遭到破解,攻击者利用该特权地址盗取了价值1.6亿美元的代币。

本次攻击发生的主要原因是Wintermute项目方出于节省gas消耗的考虑,将的钱包地址自定义为多个连续的0开头的地址,此类地址能够通过profanity这个工具进行生成。在9月15日,1inchNetwork官方就已经发文指出profanity生成的地址存在安全隐患,其私钥可以通过暴力破解获得。而在1inch发文的前一天,Wintermute项目方已经将该钱包地址的ETH全部转走,但由于没有取消其权限导致了后续攻击的发生。

黑客提前获取了Wintermute钱包的控制权,并利用其地址权限调用Wintermute合约的0x178979ae函数向攻击者合约转移代币总计多达70种。

OKLink安全团队观点:为了节省gas消耗而采用不安全的方式生成钱包地址这种行为是不可取的,应该使用安全的函数进行创建。而在发现账户私钥存在泄露风险时,除了及时转移账户资产,还需要取消该账户在项目中的权限,使账户私钥泄露给项目带来的影响降到最低。

攻击交易:https://www.oklink.com/zh-cn/eth/tx/0xedd31e2a949b7957a786d44b071dbe1bc5abd5c57e269edb9ec2bf1af30e9ec4

攻击者账户:https://www.oklink.com/zh-cn/eth/address/0xe74b28c2eAe8679e3cCc3a94d5d0dE83CCB84705

攻击合约:https://www.oklink.com/zh-cn/eth/0x0248f752802b2cfb4373cc0c3bc3964429385c26

Top7:MangoMarkets

安全问题:价格操纵

损失金额:1.1亿美元

2022年10月3日,OKLink安全团队检测到MangoMarkets协议遭受攻击,造成超1.1亿美元的损失。

MangoMarkets是托管在Solana区块链上的去中心化金融平台,允许用户在Solana上交易加密货币,以获得现货保证金和永续期货交易。黑客准备了两个超500wUSDC的账户,通过账户A在市场订单簿上创建了0.03美元价格的4.83亿MNGOperps,通过账户B回购了账户A所有的MNGOperps,然后使用USDC在十分钟内将MNGO价格从0.03美元推高至0.91美元。以每单位0.91美元的MNGO/USD价格计算,账户B获利4.21亿美元。最后通过账户B从MangoMarketsTreasury获得了1.16亿美元的贷款,耗尽了该平台的流动性。

OKLink安全团队观点:MNGO代币过低的流动性与交易量使得此次极端的价格操控成为可能,而未对账户进行借贷限制导致MangoMarkets协议流动性被耗尽。

OKLink安全团队建议:对于借贷项目应做好价格信息源的选择,防止单一路径被利用;同时做好借贷上限控制,防止协议流动性被耗尽。

攻击账户A:

https://trade.mango.markets/account?pubkey=CQvKSNnYtPTZfQRQ5jkHq8q2swJyRsdQLcFcj3EmKFfX

攻击账户B:

https://trade.mango.markets/account?pubkey=4ND8FVPjUGGjx9VuGFuJefDWpg3THb58c277hbVRnjNa

Top8:HarmonyBridge

安全问题:私钥泄漏

损失金额:1亿美元

2022年6月24日,OKLink安全团队检测到HarmonyBridge遭受攻击,造成约1亿美元的损失。

HarmonyBridge是一个跨链桥,支持用户在Harmony跟Ethereum以及BSC间进行转账,它由五个验证节点进行操作验证,其中合约在进行isConfirmed检查时,仅需要两个验证者节点就能通过验证。攻击者控制了0xf845A7ee8477AD1FB4446651E548901a2635A915以及0x812d8622C6F3c45959439e7ede3C580dA06f8f25这两个地址的私钥,然后调用合约的confirmTransaction函数。最终,黑客成功获取到85,867个ETH,990个AAVE和78,500,000个AAG,以及5,000个BNB和640,000个BUSD,共计约100,428,116美元。

OKLink安全团队观点:虽然该跨链桥由五个验证节点进行验证,但在isConfirmed检查时,仅需要两个验证节点通过验证。黑客仅需拿到两个验证节点的私钥,便可实施攻击。

OKLink安全团队建议:跨链桥,实现了多个公链间的资产及数据转移,突破了公链“价值孤岛”的困境,所以该市场前景颇具规模,因此其安全问题也面临着更多的挑战。建议跨链桥认证时,增加所需签名者的比例。

攻击账户:

https://www.oklink.com/zh-cn/eth/address/0x0d043128146654c7683fbf30ac98d7b2285ded00

攻击交易:

https://www.oklink.com/zh-cn/eth/tx/0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65

Top9:FeiProtocol

安全问题:重入攻击

损失金额:8000万美元

2022年4月30日,OKLink安全团队检测到FeiProtocol的RariFusePool遭受攻击,造成约8034w美元的损失。

RariCaptial是一个借贷协议的平台。攻击者先从Balancer:Vault中进行闪电贷,借出1500wUSDC,以及5w个ETH,然后将闪电贷的资金用于RariCaptical中进行抵押借贷,由于RariCapital中的cEther实现合约存在重入漏洞,攻击者通过攻击合约中构造的攻击函数进行回调,提取出受协议影响的池子中所有的代币。最终获利约8034w美元。

OKLink安全团队观点:该漏洞产生的主要原因,是在进行以太坊转账中,并没有遵循先记账,后转账的原则,然后采用call.value进行转账,从而导致攻击产生。

OKLink安全团队建议:在进行以太坊转账时,谨慎使用call.value,使用时需确保重入不会发生。

攻击账户:

https://www.oklink.com/zh-cn/eth/address/0x6162759edad730152f0df8115c698a42e666157f

攻击合约:

https://www.oklink.com/zh-cn/eth/address/0x32075bad9050d4767018084f0cb87b3182d36c45

攻击交易:

https://www.oklink.com/zh-cn/eth/tx/0xab486012f21be741c9e674ffda227e30518e8a1e37a5f1d58d0b0d41f6e76530

Top10:QubitFinance

安全问题:业务逻辑问题

损失金额:8000万美元

Qubit允许跨链抵押,锁定以太坊上的资产,通过QBridge存款功能在BSC上借贷。而本次攻击发生的主要原因是跨链合约将eth的地址设为0地址,且0地址为EOA地址。Qubit项目在以太坊上提供了depositETH和deposit两个函数供用户跨链使用,它们对应的是同一个event。攻击者在ETH链上调用了deposit函数来进行ETH的跨链。当执行代码tokenAddress.safeTransferFrom(depositer,address(this),amount);进行转账时,由于0地址为EOA地址,所以这个调用不会报错。随后event记录了这次虚假的转账,导致攻击者能够在bsc链上取出资产。

OKLink安全团队观点:项目方在处理不同的业务逻辑时建议使用不一样的event以作区别,不建议多个不同的业务逻辑使用同一个event。其次项目方在处理业务逻辑时应该要考虑到0地址等特殊地址的特性,进行相关的检查与约束。

OKLink安全团队建议:针对ETH和ERC20代币转账处理逻辑应该考虑完善,对输入参数进行合法性检测,并应考虑各种调用场景,并进行相应处理。

攻击者地址:https://www.oklink.com/zh-cn/bsc/address/0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7

行业大事件

对2022年度深度影响区块链行业的大事件进行分析,并深挖背后的安全问题及影响。

LUNA崩盘

背景

Terra是一条在CosmosSDK上构建的L1(第一层)区块链协议,主要围绕稳定币生态。在这条链上发行了多种锚定法定货币的稳定币,其中UST的规模最大。而UST的价格稳定依靠Terra生态上的代币Luna。1个UST=价值1美元的Luna,另外UST与Luna是双向销毁与铸造的关系。通过这样的关系基本维持了UST价格的稳定。依靠Luna和UST,Terra在上一轮牛市周期中表现出色,Terra也成为了仅次于以太坊的L1公链。Terra项目方还成立了一个叫Anchor的项目,负责UST的存款业务。并给出了一个高达20%的固定存款年化收益率,吸引投资者将UST存入Anchor赚取利息。越来越多的人购买Luna来铸造UST,Luna价格也从2021年年初的不足一美元,到四月份时上升到了120美元。

风险酝酿

然而,这种空手套白狼的机制,一直都存在着死亡螺旋的风险。一旦大家开始突然疯狂抛售UST换回Luna时,就将会造成UST价格的脱锚,同时市场上的Luna供应量大增导致Luna价格的下降。死亡螺旋也会开始,造成的后果就是Luna和UST全部跌进深渊。Anchor保证的20%收益是由抵押品收益以及基金会的备用金来保证,在2月份,创始人再次发起了投票注入3亿美元的备用金。但预计也会在6月份全部耗尽,当一个理财产品的收益率从20%降到5%,用户自然会把钱取出来换成更加稳当的资产。当一小部分人率先开始这么做。UST出现不稳定迹象以后,恐慌也就开始了。

死亡螺旋开启

五月,UST便开始出现了戏剧性的转折。

5月8日,Terra因新计划从资金池中提取了1.5亿个UST,导致了UST的流动性短暂下降。同时,大型机构开始大规模抛售UST,导致当天有20亿美元的UST从anchor流出。这样一来,市场上突然出现了大量的UST,供需平衡被打破,导致UST的价格开始与美元脱钩,很多人把手中的UST换成了Luna,这也导致了Luna供应量的增加和价格从90美元下跌到了60美元。5月9日,Terra宣布将动用储备的比特币贷款7.5亿美元来帮助稳定UST,但是抛售潮并没有停止,UST的脱锚情况恶化,价格跌破0.98美元。很多用户开始恐慌,把手中的UST换成了Luna,导致了Luna价格再次下跌50%以上,出现了死亡螺旋。5月10日,情况进一步恶化。近60亿美元从anchor流出,Luna价格暴跌90%以上,跌至10美元,UST完全脱锚,价格跌至0.6美元。但与此同时,许多人开始低价收购Luna。5月11日,DoKwon发布公告表示无法挽救市场,只能依靠套利机制来帮助UST恢复价格。Luna的价格再次暴跌90%以上,跌至1美元,UST的价格一度暴跌至0.3美元。5月12日,Luna的价格继续暴跌99%,几乎为零,UST的价格跌至0.2美元。5月13日,许多交易所下架Luna并暂停交易,Terra公链停机。5月14日,DoKwon发推特表示自己没有出售任何Luna,团队正在整理储备与使用情况,准备新的提案来帮助Luna重建。Luna从0.00004美元左右暴涨1000多倍。然而,Luna的价格几天之后又快速回落,徘徊在0.00014美元附近,稳定币UST则跌到了不足0.09美元。

暴跌带来的安全事件

由于崩盘的迅速,Chainlink暂停了LUNA价格的更新,LUNA预言机的价格停留在了0.1美元,与实际价格相差悬殊,部分借贷项目如BlizzFinance,VenusProtocol,Scream等,未能够及时暂停项目,从而发生了黑客攻击套利事件,造成了相关协议的巨额损失。

OKLink安全团队观点:Terra此前作为市场上最大、最主流的算法稳定币系统,也未能逃脱崩盘的命运,未来很长一段时间,如果算法稳定币的模式没有革命性的改变都将处于比较边缘的位置。

OKLink安全团队建议:用户在后续参与相关算法稳定币项目时,需保持谨慎和冷静的态度。不要被高收益冲昏头脑,更加不要将所有资金放在一个篮子里。

以太坊合并

以太坊合并是指原有的工作量证明以太坊主网与单独的权益证明信标链合并,成为一条链。

以太坊诞生之初,其设计理念就是希望通过权益证明取代比特币及其衍生品使用的传统工作量证明来保护网络。但当时使用权益证明的时机还不成熟,因此以太坊先选择工作量证明来进行过渡,最后推进到股权证明。

信标链是2020年启动的第一条权益证明区块链的名称。它的创立是为了在以太坊主网上运行权益证明共识逻辑之前确保该逻辑是可靠且可持续的。因此,它与原有的工作量证明以太坊一起运行。

停止以太坊的工作量证明机制并启动权益证明机制,需要让信标链接受来自原有以太坊链上的交易,把交易打包进区块,随后再将区块组织到一条运行权益证明共识机制的区块链上。与此同时,原有的以太坊客户端停止挖矿、区块传播及旧的共识逻辑,并将这一切转交给信标链。此事件称为合并。合并发生后,不再有两条区块链;只有一条权益证明以太坊链。

2022年9月15日,据欧科云链OKLink多链浏览器监测,以太坊执行层与权益证明共识层于区块高度15537393触发合并机制,并产出首个PoS区块,自此以太坊共识正式从PoW转为PoS机制。

以太坊合并带来的变化

?减少了约99.95%的能源消耗。

?成为一名网络验证者的门槛大大降低,只需要16到32ETH及一台普通的电脑终端,增加了网络验证参与者数量的同时,有助于确保其安全性和去中心化。

?每天向矿工支付ETH下降约90%,大大降低ETH的通货膨胀率

以太坊合并时出现的分叉

在以太坊进行合并时,一些不想放弃PoW丰厚利润的矿工选择继续采用原有共识机制继续出块以此分叉出了EthereumPoW链(后简称ETHW)和ETF等。

分叉带来套利的机会

区块链分叉需要复制所有现有功能、钱包余额、资产和智能合约。这意味着在以太坊上运行的所有资产现在都将在EthereumPoW主网上运行。由于社区对ETHW和ETF等分叉链网络的价值认可度较低,因此很多分叉链代币本身不存在价值。

中心化的稳定币项目方就表示不会承认除ETH主链(POS)外其他以太坊链上的稳定币资产,原因是现实世界中背书稳定币价值的美元数量不会“分叉”。所以,中心化交易所不会提供ETHW链USDT/USDC的充值地址。

套利点出现了~

虽然在ETHW链上的USDT价值为0,但作为ETHW链上为数不多有价值的资产——ETH(W),流动性池(LP)中忘记提走的ETH或WETH就被套利者盯上,当作了这次的获利对象。套利者通过向含有ETH(W)的LP中充入USDT/USDC或其它无价值代币,“购买”有价值的ETH(W),最终将ETHW转向交易所提现离场。

总的来说,这是一种用无价值代币在流动性池中套取有价值代币的套利操作。

分叉导致的攻击

9月18日,OKLink安全团队检测到,有攻击者正在EthereumPow重放PoS链的交易进行获利,该漏洞的根本原因是跨链桥未正确验证跨链消息的实际chainid。攻击者首先通过Gnosis链的omni桥转移了200WETH,然后在PoW链上重放了相同的消息,获得了额外的200ETHW。

OKLink安全团队观点:对跨链消息的不完全验证导致了此次攻击的发生。

OKLink安全团队建议:跨链桥项目应对跨链消息进行完善验证防止伪造、重放等攻击事件发生。

检测到POS出块消息:

https://www.oklink.com/academy/zh/ethmergedata

分叉套利机会:

https://www.oklink.com/academy/zh/merge-arbitrage

Solana大规模钱包被盗

Solana介绍

Solana是一个新兴的高性能的公链,它提供了快速、便宜且可扩展的交易体验,每秒能够处理数千笔交易,并且出块时间达到了亚秒级。因其高性能,以及低成本,越来越多的应用开始部署到了该链上,其生态达到了空前的繁荣,被人们誉为“以太坊杀手”

事件经过

2022年8月3日,Solana公链上发生了大规模的盗币的事件,大量用户在不知情的情况下被转移资产,涉事钱包超过1.5万个,其中大部分属于Phantom钱包和Slope钱包,简单的时间线如下:

?8月3日早间,Solana生态的NFT市场MagicEden发推表示"似乎有一个广泛存在的漏洞可以耗尽整个Solana生态系统的钱包资产"

?8月3日上午10:30,据监测,被盗钱包数量已增至7000个,并且正在以每分钟20个的速度增长。

?8月4日Solana官方账号SolanaStatus表示,经调查,此次Solana钱包大规模被盗与Slope钱包相关,所有被盗地址均在Slope钱包移动端上创建,导入,或使用过。

?8月4日Slope发表官方声明,漏洞原因尚未确认,Slope创始人和许多员工的钱包也遭受攻击。

?8月6日Slope发推表示,如果攻击者归还被盗资金,将支付10%赏金,并提供了48小时窗口期。

被盗原因

经分析,约有5.8亿美元加密资产流向了4个攻击者地址,看起来并非针对单一协议的攻击,像是大规模的私钥泄漏。据Solanafoundation提供的数据,60%的被盗用户使用Phantom钱包,30%左右的地址使用Slope钱包,其余用户使用TrustWallet等。经针对SlopeWallet的安全分析,发现在某些特定的版本中,会收集并发送用户的助记词。该行为会导致助记词泄漏,从而导致私钥泄漏。有部分未使用Slope钱包的用户,也遭受了攻击,目前这部分被攻击的原因,还在分析中。

OKLink安全团队建议:

此次事件,由钱包本身的安全漏洞导致,对钱包应用而言:

?钱包应用在开发阶段,应该重点评估其使用的第三方库及服务,并对其架构进行安全评估。

?钱包应用在发布阶段,应聘请多家安全审计公司,对其进行安全审计。

对用户而言:

?应选择大品牌,历史悠久的钱包。

?妥善保管私钥,且私钥保存不触网。

?定期管理授权。

?切勿随意点击链接,签名授权,交互。

FTX暴雷

FTX介绍

FTX是一家数位资产现货与衍生品交易平台,于2019年5月在安提瓜和巴布达成立,总部位于巴哈马。2022年曾经居全球交易所日交易量排名第4位。其创始人是山姆·班克曼-弗里德。本次事件涉及到他名下的FTX和AlamedaResearch两所公司。

事件经过

11月6日,CoinDesk发文指出Alameda业务的大部分净资产实际上是FTX自己的集中控制和凭空打印的代币,表示Alameda/FTX或将资不抵债。随后AlamedaCEO发布回应表示,网传版资产负债表其实仅列出了Alameda部分资产,其Alameda有超过100亿美元的资金未能在该负债表中列出。

11月7日,币安交易所CEO赵长鹏表示币安将计划出售持有的FTT。随后FTX寻求币安援助,币安与FTX开始收购谈判。但在11月10日,币安发文表示“由于企业尽职调查,以及有关客户资金处理不当,决定终止对FTX的收购。”

11月10日,SBF宣布,AlamedaResearch将在当地时间周四结束交易。11月11日,FTX正式宣布破产。

11月15日,FTX破产文件公布,债权人逾100万。由法律顾问呈交的公告显示,有关债权人可能有100多万人,这比早前FTX宣告破产所公布的约10万债权人高出十倍之多。不仅如此,FTX认列的客户负债及资产出现高达90亿美元落差。

12月13日,SBF已被巴哈马逮捕。

事件影响:

1.币价:由于SBF曾参与Solana的多轮融资,并且在Solana上搭建了去中心化交易平台Serum,以及投资了多个基于Solana的应用。FTX、Alameda、Solana互相持有的大量Token更是让SOL在11月9日FTX爆雷的当天一路暴跌,价格直接腰斩。不仅如此,受到恐慌情绪的影响,SolanaDeFi生态的资金出现了大幅减少。

2.交易所:FTX崩溃后,中心化交易所的不透明再度引发人们的信任危机,各大交易所储备金有问题的消息疯传,提币潮愈演愈烈。OKX、币安、火币、Gate.io等主流交易所均表示会以merkletree准备金证明的方式公开资产储备以缓解用户的恐慌情绪。

3.监管:FTX的破产也引起监管部门的注意。美国财政部长耶伦呼吁政府加强对加密货币的监管,称FTX破产是一个客观教训,表明该行业需要加强监管。日本央行行长黑田东彦表示:必须迅速采取监管措施应对加密资产风险。香港财政司司长陈茂波:“我们既要充分利用创新技术带来的潜力,也要小心防范当中可能造成的波动和潜在风险,更要避免这些风险和影响传导到实体经济。”英国财政大臣亨特:我们将与监管机构在加密货币方面密切合作。

安全解决方案

根据OKLink安全团队的研究和分析,当前区块链安全领面临的主要挑战是网络钓鱼、合约安全和RugPull。针对这些挑战,OKLink提供了以下解决方案和能力。

合约检测能力

卫士合约检测能力目前完成了基于ERC721,ERC1155,ERC20标准的合约检测能力搭建。ERC721代币共计870,981,貔貅盘数量:15,575;ERC20代币共计4,168,403,貔貅盘数量481,554。同时为合约检测能力赋予多种场景,让合约检测能力能够发挥最大效力以服务于用户。

首先,基于代币合约检测能力落地而成的风险代币检测能力服务于Buildler和Investor用户,结合链上数据分析形成一套代币风险报告,包含有代币合约分析、可兑换性分析、代币持有者分析、流动性分析四方面分析能力。同时,结合统计学大数据整合能力。

其次,合约检测能力赋能自托管钱包安全能力,即KYT扫描。通过将合约与用户地址交互过程的操作细节披露,并在累积了大额资金损失案例的关键节点进行风险预警,帮助用户保护资产安全。KYT能力目前实现了授权检测和主链币转移检测,已经上线web3wallet。

钓鱼网址检测

由于利用钓鱼网址进行网络欺诈的案例层出不穷,行方式通常为诱导用户点击钓鱼链接,随后取用户输入的钱包助记词,或引导用户在钓鱼链接内进行钱包授权操作,最终转移用户资产。

有效避免钓鱼欺诈的方式之一是识别钓鱼网站并做实时拦截,OKLink提供的疑似钓鱼域名检测工具创造了一套域名检测流程,目前以API的方式存在,当访问指定域名时调起接口,根据域名检测流程判断并返回指定域名的具体风险等级值,从而根据风险等级值对域名做响应处理。目前支持对极高风险域名拦截、对高风险域名预警、对低风险域名放行。

态势感知系统

态势感知系统是一款针对DeFi生态中的疑似风险事件做告警的产品,通过对历史安全事件的复盘与分类,从项目、交易、地址的维度找出同类事件中的相似性,拆解可开发的指标,通过指标的组合关系建立检测模型与异动监控规则,实现异常指标推送及响应处置。

目前支持主流DeFi项目多链多场景告警,比如,针对借贷项目,支持疑似闪电贷攻击、RugPull、协议漏洞、清算风险告警;针对跨链桥项目,支持异常跨链告警等。通过具体指标与风险场景的映射,做到实时级别、小时级别和天级别的数据监测与推送。

安全总结

我们从整个2022年安全态势可以看出,社媒攻击导致用户私钥泄露或恶意签名的钓鱼攻击事件不断在web3行业增加;由于整个大环境影响RugPull等一些跑路事件也层出不穷;老生常谈的DeFi安全仍在不断发生。

在资金损失排名前十的安全事件中跨链桥相关的安全事件就占据6起,可以看出跨链桥所暴露出的安全问题仍然十分严峻。跨链桥作为链接多链世界的桥梁,需要在设计之初就考虑各种安全风险,项目上线前需要进行专业测试与审计,上线后需要配套各种安全响应措施,以确保项目安全。

从一些行业大事件中可以看到相关安全问题,如Luna崩盘预言机价格更新异常导致大量的黑客套利事件、以太坊分叉导致的重放攻击和稳定币套利事件等。在一些较大风险事件发生时,项目方应该需要具备较强的安全意识和采取相应的安全响应措施以排除相关安全隐患。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:0ms0-3:688ms